Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W miarę jak organizacje coraz częściej wdrażają usługi w chmurze, zapewnienie bezpiecznego i wydajnego dostępu do tych zasobów staje się najważniejsze. Centra FinOps oferują elastyczne opcje obsługi publicznego lub prywatnego dostępu do sieci danych w zależności od potrzeb. W tym przewodniku wyjaśniono, jak działa każda opcja dostępu do danych oraz jak skonfigurować sieć prywatną w celu bezpiecznego uzyskiwania dostępu do danych w centrach FinOps.
Jak działa dostęp publiczny
Dostęp publiczny w centrach FinOps ma następujące cechy:
- Dostęp jest kontrolowany za pośrednictwem kontroli dostępu opartej na rolach (RBAC) i komunikacji szyfrowanej za pośrednictwem zabezpieczeń warstwy transportu (TLS).
- Magazyn jest dostępny za pośrednictwem publicznych adresów IP (zapora sieciowa ustawiona na publiczny dostęp).
- Eksplorator danych (jeśli został wdrożony) jest dostępny za pośrednictwem publicznych adresów IP (zapora sieciowa ustawiona na tryb publiczny).
- Usługa Key Vault jest dostępna za pośrednictwem publicznych adresów IP (zapora ustawiona jako publiczna).
- Usługa Azure Data Factory jest skonfigurowana do korzystania z publicznego środowiska Integration Runtime.
Jak działa dostęp prywatny
Dostęp prywatny to bezpieczniejsza opcja, która umieszcza zasoby centrów FinOps w izolowanej sieci i ogranicza dostęp za pośrednictwem sieci prywatnej:
- Dostęp do sieci publicznej jest domyślnie wyłączony.
- Magazyn jest dostępny za pośrednictwem prywatnego adresu IP oraz zaufanych usług Azure — zapora sieciowa jest ustawiona na domyślne blokowanie z wyjątkiem usług znajdujących się na liście zaufanych.
- Eksplorator danych (jeśli jest wdrożony) jest dostępny za pośrednictwem prywatnego adresu IP — zapora sieciowa jest ustawiona na domyślną odmowę bez wyjątków.
- Magazyn kluczy (Key Vault) jest dostępny za pośrednictwem prywatnego adresu IP i zaufanych usług platformy Azure — zapora sieciowa jest ustawiona na domyślną odmowę z pominięciem usług na liście zaufanych.
- Usługa Azure Data Factory jest skonfigurowana do korzystania z publicznego środowiska Integration Runtime, co pomaga zmniejszyć koszty.
- Sieć wirtualna jest wdrażana, aby zapewnić prywatną komunikację między wszystkimi składnikami zarówno podczas wdrażania, jak i w czasie działania.
Należy pamiętać, że sieć prywatna wiąże się z dodatkowymi kosztami zasobów sieciowych, łączności i dedykowanych zasobów obliczeniowych w usłudze Azure Data Factory. Aby uzyskać szczegółowe oszacowanie kosztów, zapoznaj się z kalkulatorem cen platformy Azure.
Porównywanie opcji dostępu do sieci
W poniższej tabeli porównaliśmy opcje dostępu do sieci dostępne w centrach FinOps:
| Składnik | Publiczność | Prywatne | Korzyść |
|---|---|---|---|
| Magazynowanie | Dostępny za pośrednictwem Internetu | Dostęp ograniczony do sieci koncentratora FinOps, sieci równorzędnych (na przykład firmowej sieci wirtualnej) i zaufanych usług platformy Azure | Dane dostępne tylko w przypadku pracy lub w firmowej sieci VPN |
| Eksplorator danych Azure | Dostępny za pośrednictwem Internetu | Dostęp ograniczony do sieci koncentratora FinOps, sieci równorzędnych (na przykład firmowej sieci wirtualnej) i zaufanych usług platformy Azure | Dane dostępne tylko w przypadku pracy lub w firmowej sieci VPN |
| Repozytorium kluczy | Dostępny za pośrednictwem Internetu | Dostęp ograniczony do sieci koncentratora FinOps, sieci równorzędnych (na przykład firmowej sieci wirtualnej) i zaufanych usług platformy Azure | Klucze i tajemnice nigdy nie są dostępne za pośrednictwem publicznego Internetu. |
| Azure Data Factory | Używa publicznej puli obliczeniowej | Zarządzane środowisko uruchomieniowe integracji w sieci prywatnej z Eksploratorem Danych, magazynem i skarbcem kluczy | Wszystkie przetwarzanie danych odbywa się wewnątrz sieci |
| Sieć wirtualna | Nie używane | Ruch centrum FinOps ma miejsce w izolowanej sieci wirtualnej | Wszystko pozostaje prywatne; idealne dla środowisk regulowanych |
¹ Chociaż zasoby są dostępne za pośrednictwem Internetu, dostęp jest nadal chroniony przez kontrolę dostępu opartą na rolach (RBAC).
Włączanie sieci prywatnej
Aby włączyć sieć prywatną podczas wdrażania nowego lub aktualizowania istniejącego wystąpienia centrum FinOps, ustaw Access na private na karcie Advanced.
Przed włączeniem dostępu prywatnego przejrzyj szczegóły konfiguracji sieciowej na tej stronie, aby zrozumieć dodatkową konfigurację wymaganą w celu nawiązania połączenia z instancją koncentratora. Po włączeniu, wystąpienie centrum FinOps będzie niedostępne, dopóki dostęp do sieci nie zostanie skonfigurowany zewnętrznie względem tego wystąpienia. Zalecamy udostępnienie tego Twoim administratorom sieci, aby upewnić się, że zakres adresów IP spełnia standardy sieciowe i rozumieją, jak połączyć instancję huba z istniejącą siecią.
Wirtualna sieć koncentratora FinOps
Po wybraniu dostępu prywatnego, instancja centrum FinOps zawiera sieć wirtualną w celu zapewnienia, że komunikacja między jej różnymi składnikami pozostanie prywatna.
- Sieć wirtualna powinna mieć rozmiar /26 (64 adresy IP). To ustawienie umożliwia minimalne wymagane rozmiary podsieci dla usług Kontener Services (używanych podczas wdrożeń do uruchamiania skryptów) i Eksploratora danych.
- Zakres adresów IP można ustawić w momencie wdrożenia, a domyślnie ustawiony jest na 10.20.30.0/26.
W razie potrzeby możesz utworzyć sieć wirtualną, podsieci i opcjonalnie połączyć ją w sposób równorzędny z siecią centralną przed wdrożeniem centrów FinOps, jeśli spełnisz następujące wymagania:
- Sieć wirtualna powinna być /26 (rozmiar 64 adresów IP).
- Nazwa powinna być
<HubName>-vNet. - Sieć wirtualna musi być podzielona na trzy podsieci z delegowaniem usługi, jak określono:
- prywatnej podsieci punktu końcowego (/28) — brak skonfigurowanych delegacji usług; hostuje prywatne punkty końcowe dla przechowywania i skrytki kluczy.
- podsieć skryptowa (/28) — przypisana do usług kontenerowych w celu uruchamiania skryptów podczas wdrażania.
- dataExplorer-subnet (/27) — delegowane do usługi Azure Data Explorer.
Prywatne punkty końcowe i system DNS
Komunikacja między różnymi składnikami koncentratora FinOps jest szyfrowana przy użyciu protokołu TLS. Aby walidacja certyfikatu TLS powiodła się w przypadku korzystania z sieci prywatnej, wymagane jest niezawodne rozpoznawanie nazw systemu nazw domen (DNS). Strefy DNS, prywatne punkty końcowe i wpisy DNS gwarantują rozpoznawanie nazw między składnikami centrum FinOps.
- privatelink.blob.core.windows.net — dla Eksploratora Danych i magazynu używanego przez skrypty wdrażania
- privatelink.dfs.core.windows.net — w przypadku Eksploratora Danych i hostowania konfiguracji danych FinOps i potoku w usłudze Data Lake
- privatelink.table.core.windows.net — dla Eksploratora danych
- privatelink.queue.core.windows.net — dla Eksploratora danych
- privatelink.vaultcore.azure.net — dla usługi Azure Key Vault
- privatelink.{location}.kusto.windows.net – dla Eksploratora danych
Ważne
Zmiana konfiguracji DNS sieci wirtualnej koncentratora FinOps nie jest zalecana. Składniki centrum FinOps wymagają niezawodnego rozpoznawania nazw, aby wdrożenia i uaktualnienia zakończyły się pomyślnie. Data Factory usługi wymagają również niezawodnego rozpoznawania nazw pomiędzy składnikami.
Peering sieciowy, routing i rozpoznawanie nazw
Po wybraniu dostępu prywatnego, instancja centrum FinOps jest wdrażana w izolowanej wirtualnej sieci rozgałęzionej. Istnieje wiele opcji umożliwiających prywatną łączność z siecią wirtualną koncentratora FinOps, w tym:
- Równorzędne połączenie sieci koncentratora FinOps z inną siecią wirtualną w Azure.
- Połączenie peeringowe sieci koncentratora FinOps z koncentratorem Azure vWAN.
- Rozszerzenie przestrzeni adresowej sieci centrali FinOps i wdrożenie bramy VPN.
- Rozszerzanie przestrzeni adresowej sieci centrum FinOps i wdrażanie bramy danych usługi Power BI.
- Zezwalanie na dostęp do własnej firmowej zapory sieciowej i zakresów adresów IP sieci VPN za pośrednictwem publicznego Internetu poprzez zapory sieciowe magazynu i Data Explorer.
Aby uzyskać dostęp do danych centrum FinOps z istniejącej sieci wirtualnej, skonfiguruj rekordy A w istniejącej sieci wirtualnej, aby uzyskać dostęp do magazynu lub Eksploratora danych. rekordy CNAME mogą być również wymagane w zależności od rozwiązania DNS.
| Wymagane | Nazwa | Opis |
|---|---|---|
| Wymagane | Nazwa_konta_storage <storage_account_name>.privatelink.dfs.core.windows.net | Rekord umożliwiający dostęp do magazynu |
| Opcjonalne | < >storage_account_name.dfs.core.windows.net | CNAME do rekordu A magazynu |
| Wymagane | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | Rekord umożliwiający dostęp do Eksploratora danych |
| Opcjonalne | < >data_explorer_name.<>azure_location.kusto.windows.net | Rekord CNAME w eksploratorze danych A |
Ważne
W przypadku korzystania z prywatnych punktów końcowych w połączeniu z bramą danych usługi Power BI należy użyć w pełni kwalifikowanej nazwy domeny (FQDN) klastra usługi Azure Data Explorer (na przykład clustername.region.kusto.windows.net) zamiast skróconej wersji (na przykład clustername.region). Aby funkcje prywatnego punktu końcowego działały zgodnie z oczekiwaniami, zapewnia się prawidłowe rozpoznawanie nazw.
Przykład peeringu sieciowego
W tym przykładzie:
- Sieć wirtualna koncentratora FinOps jest połączona z koncentratorem sieciowym.
- Zapora Azure działa jako główny router.
- Wpisy DNS dla magazynu i Eksploratora Danych są dodawane do Rozpoznawania Nazw Azure DNS, aby zapewnić niezawodne rozpoznawanie nazw.
- Tablica trasowania jest dołączona do podsieci bramy sieciowej, aby zapewnić, że ruch z sieci lokalnej może być kierowany do równorzędnej vNet.
Ta topologia sieci jest zgodna ze wskazówkami dotyczącymi architektury sieci Hub-Spoke opisanymi w przewodniku Cloud Adoption Framework dla platformy Azure i centrum architektury platformy Azure .
Prześlij opinię
Daj nam znać, jak nam idzie, poprzez szybką opinię. Te recenzje służą do ulepszania i rozszerzania narzędzi i zasobów FinOps.
Jeśli szukasz czegoś konkretnego, zagłosuj na istniejący lub utwórz nowy pomysł. Podziel się pomysłami z innymi osobami, aby uzyskać więcej głosów. Skupiamy się na pomysłach z największą większością głosów.